VENOM: Sicherheitslücke lässt aus VM-Gastsystemen ausbrechen
Mittels „Virtualized Environment Neglected Operations Manipulation“, kurz VENOM, können Angreifer durch eine fehlerhafte Diskettenlaufwerksimplementierung aus bestimmten virtuellen Maschinen ausbrechen und so Zugriff auf das Host-System sowie auf andere darauf laufende VMs erhalten.
Der Fehler liegt im Code zur Emulation eines Floppy-Disk-Controllers der freien Virtualisierungslösung QEMU, auf den auch andere populäre VM-Software wie Xen oder KVM setzen und der bereits seit 2004 Programmbestandteil ist. Andere gängige Virtualisierungslösungen wie VMware, Microsoft Hyper-V oder Bochs sind hingegen nicht betroffen.
Möglich wird die Lücke durch einen Buffer-Overflow: Der sich eigentlich selbst leerende Puffer des Diskettenlaufwerk-Controllers kann durch seine feste Größe mit bestimmten Steuerungskommandos und anhängigen Parametern dennoch zum Überlauf gebracht werden, wodurch beliebiger Code auf Basis des Hypervisor-Prozesses ausgeführt werden kann. Durch letzteren Umstand ist das Problem auch plattformunabhängig, weshalb beispielsweise Windows, Linux und OS X gleichermaßen gefährdet sind. Allerdings werden Root- respektive Administratorenrechte benötigt, um Schaden anzurichten, was jedoch durchaus des Öfteren gegeben sein kann. Heikel ist der Fehler zudem unter anderem auch, weil die emulierten Diskettenlaufwerke standardmäßig gesetzt werden und auch beim Entfernen der Code bestehen bleibt, was für eine große Verbreitung sorgt.
Entdeckt wurde die Lücke von Jason Geffner, einem Mitarbeiter der Sicherheitsfirma CrowdStrike. Laut deren Angaben konnte eine Ausnutzung des Exploits bisher nicht in freier Wildbahn gesichtet werden. Da die Entdeckung vor der jetzigen Bekanntmachung mit betroffenen Software-Herstellern geteilt wurde, stehen für QEMU, Xen und KVM bereits entsprechende Patches bereit, die Abhilfe schaffen. Kritisch ist die Lücke vor allem für Rechenzentrenbetreiber, die zur Bereitstellung von Servern auf Virtualisierung setzen. Amazon als ein großer Cloud-Anbieter am Markt hat bereits verlautet, dass die eigene Plattform nicht betroffen ist.